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(54) Disposltif de detection d'intrusions et d'usagers suspects pour ensemble informatlque et systeme de secu- 
rity comportant un tel disposltif. 

(57) Dispositif de detection d'intrusions et d'usagers sus- 
pects, pour ensemble informatique (1) T et systeme de se- 
curity incorporant un tel dispositif qui exploite les donnees 
de surveillance, relatives au fonctionnement de ('ensemble. 

Le dispositif comporte des moyens (01) pour mod^liser 
I'ensemble informatique, ses usagers et leurs comporte- 
ments respectifs a I'aide d'un reseau semantique (06); des 
moyens (02) pour comparer le comportement modelise du 
systeme et des utilisateurs par rapport au comportement 
normal modelise; des moyens (03) pour interpreter en ter- 
mes d'intrusions et d'hypotheses d'intrusion les anomalies 
constatees; des moyens (04) pour interpreter les hypothe- 
ses d'intrusion et les intrusions constatees afin de les si- 
gnaler et de permettre de preparer des actions de conten- 
tion. Des moyens (05) sont prevus pour evaluer le degre de 
suspicion des usagers. L'ensemble des moyens coopere 
dans un but d'information. 
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Dispositif de detection d 1 intrusions et d'usaaers suspects 
pour ensemble infonaatiaue et systeme de securite comportant 
un tel dispositif , 

L ' invention concerne un dispositif de detection d' intrusions 
5 et d 1 usagers suspects et un systeme de securite, pour 
ensemble inf ormatique, comportant un tel dispositif. 
Le systfeme de securite est destine a proteger un ensemble 
inf ormatique , auquel il est associe, contre les actions 
informatiques anormales des usagers ou d 1 utilisateurs 

10 intrus, lorsque ces actions sont susceptibles de porter 

directement ou indirectement atteinte a la conf identialite, 
a I 1 integrity et/ou a la disponibilite des informations et 
, des services de I 1 ensemble inf ormatique . 

Le dispositif est destine a assurer une detection des 

15 intrusions que sont considerees constituer lesdites actions 
informatiques anormales des usagers et a fortiori celles de 
tiers intrus, et corollairement une detection des personnes 
impliquees dans ces intrusions ou suspectes de I'etre, ceci 
dans le cadre d f un systSme de securite tel qu'evoque ci- 

20 dessus. 

De nombreux ensembles informatiques actuels, qu'ils soient 
dotes d' unites de traitement centralisees , ou qu'ils soient 
organises en reseaux reliant des unites de traitement 
geographiquement reparties, disposent de differents points 

25 d'acces pour la desserte de leurs usagers. Le nombre de ces 
points et la facilite avec laquelle ils sont souvent 
accessibles, qui sont necessaires a 1 1 exploitation de ces 
ensembles informatiques, ont pour inconvenient de faciliter 
les tentatives d' intrusion par des personnes qui ne font pas 

30 partie des usagers admis et les tentatives par des 

utilisateurs , agissant isolement ou de mani&re concertee, 
pour realiser des operations informatiques que, licitement, 
ce ou ces utilisateurs ne devraient pas pouvoir effectuer. 
II est connu de chercher a detecter les intrusions dans un 

35 ensemble inf ormatique et a identifier les usagers auteurs 
d 1 actions illicites par une approche statistique ou 
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neuronale. A cet effet, on compare algorithmiquement chaque 
donnee courante de surveillance , qui correspond a une action 
informatique d f un sujet sur un objet, a un comporteitient 
habituel d'usager, soit represents par un profil statistique 
5 prealablement determine , soit memorise dans un reseau 
neuronal . 

Ceci n'est pas pleinement satisfaisant, dans la mesure ou 
les notions de comportement inhabituel et intrusif ne se 
recoupent pas, de plus il est possible qu'un comportement 
10 intrusif puisse etre memorise a tort en tant que 
comportement normal admissible. 

II est aussi connu d'utiliser un systeme expert, notamment 
en liaison avec la methode precedente , pour chercher a 
determiner les intrusions en appliquant aux donnees de 

15 surveillance, fournies par un systeme de securite d' ensemble 
informatique, les connaissances relatives aux scenarios, 
potentiels d'attaque de 1* ensemble informatique. Ceci n'est 
pas non plus pleinement satisfaisant, car seules sont 
detectees, par cette methode, les intrusions qui 

20 correspondent a des scenarios d'attaque prealablement 
memorises. 

Dans la mesure oil, dans chacune des approches succinctement 
evoquees ci-dessus, le comportement envisage est limite a 
des actions elementaires au niveau du systeme 

25 d' exploitation, par exemple la lecture d'un fichier, il 
n f est pas possible de prendre en compte les operations 
inadmissibles resultant d'une activite complexe, notamment 
celles qui interviennent au niveau d'une application. II 
n'est alors pas possible de tirer des conclusions justifiees 

30 a partir des informations obtenues sur l'etat d* intrusion 
pour un ensemble informatique surveille et sur la 
participation potentielle ou reelle des usagers a des 
operations reprehensibles . 

L 1 invention propose done un dispositif de detection 
35 d' intrusions et eventuellement d' usagers suspects, pour 
ensemble informatique, exploitant des flots de donnees de 
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surveillauce, Relatives au fonctionnement de 1* ensemble 
informatique et notamment aux actions des utilisateurs sur 
cet ensemble, qui sont etablies au niveau de ce dernier . 
Selon une caracteristique de l f invention, ce dispositif de 
5 detection comporte : 

- des premiers moyens pour modeliser, par exploitation de 
regies et de connaissances prealablement acquises , la cible 
que constitue cet ensemble inf ormatique et ses usagers ainsi 
que leurs comportements respectifs par une representation 

10 symbolique & I 1 aide d'un r§seau semantique; 

- des seconds moyens pour comparer le comportement mod^lise 
du systeme et de ses utilisateurs par rapport au 
comportement normal modelise prevu pour les memes conditions 
par des regies de comportement et de security contenues dans 

15 line base de connaissances propre a ces seconds moyens et 
pour en inf erer soit un objet anomalie, en cas de violation 
d'au moins une regie de comportement, soit un objet 
intrusion ou hypothese d' intrusion, en cas de violation d f au 
moins une regie de securite; ■ ? 

20 - des troisi&nes moyens pour interpreter les anomalies 
constatees par exploitation de regies et de connaissances 
prealablement acquises, afin d'emettre, renforcer ou 
1 confirmer des hypoth&ses d 1 intrusion en correspondance; 

- des quatri&mes moyens pour correler et interpreter les 
25 hypotheses d 1 intrusion et les intrusions constatees par 

exploitation des regies et des connaissances prealablement 
acquises afin de relier les di verses hypotheses d f intrusion 
et/ou intrusions, d f en inf erer de nouvelles; 

- des moyens de communication cooperant avec les divers 
30 autres moyens evoques ci-dessus pour assurer une 

signalisation des diverses informations que ces divers 
moyens produisent relativeraent aux anomalies, aux hypotheses 
d f intrusion et aux intrusions. 

Selon une caracteristique complementaire , le dispositif de 
35 detection selon 1 1 invention est susceptible de comporter des 
cinquiSmes moyens pour identifier a l'aide de connaissances 
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prealablement acquises les usagers reellement responsables 
des anomalies,, hypotheses d 1 intrusion et intrusions etablies 
par les seconds , troisiemes et/ou quatriemes moyens, pour 
evaluer leur degre de suspicion et pour signaler ces usagers 
5 responsables , en cooperation avec ces moyens et par 
1 1 intermediaire des moyens de communication . 
L' invention, ses caracteristiques et ses avantages sont 
precises dans la description qui suit en liaison avec les 
figures evoquees ci-dessous . 

10 La figure 1 presente une architecture logicielle de 

dispositif de detection d 1 intrusions selon l 1 invention. 
La figure 2 presente un systeme de securite selon 
1' invention en liaison avec une machine d" ensemble 
inf ormatique auquel ce systeme est associe. 

15 La figure 3 presente un schema montrant les liaisons entre 
un moniteur local de systeme de securite, une machine 
inf ormatique qu'il dessert et un moniteur global dont il 
depend. 

La figure 4 presente un abstracteur-investigateur pour 

20 dispositif de detection selon 1' invention. 

La figure 5 presente un schema d'un analyseur-controleur 
pour systeme de securite selon l 1 invention. 
La figure 6 presente un schema d'un gestionnaire de 
suspicion et de reaction pour systeme de securite selon 

25 I 1 invention. 

Le dispositif de detection d' intrusions selon l f invention 
dont 1 1 architecture logicielle est presentee en figure 1 est 
plus particulierement destine a etre associe a un ensemble 
inf ormatique dans le cadre d'un systeme de securite destine 

30 a proteger cet ensemble inf ormatique des intrusions des 
usagers et/ou d'utilisateurs intrus, ce dispositif etant 
destine a detecter tant les intrusions et tentatives 
d 1 intrusions que les usagers susceptibles d'etre impliques 
dans ces intrusions et tentatives d' intrusion. 

35 L 1 architecture logicielle proposee ici prevoit la raise en 
oeuvre de cinq systemes experts, references de 01 a 05, qui 
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cooperent grace a une application de type tableau noir , 
ref6rencee 0, et d'une interface homme-application 00 pour 
au moins une personne ayant la responsabilite de la securite 
de 1 1 ensemble inf ormatique et du f onctionnement du 
5 dispositif de detection d 1 intrusions . 

Selon 1» invention, pour prendre en compte une politique pour 
1' ensemble inf ormatique qui, dans la realisation consideree, 
concerne la securite de cet ensemble, se definit en termes 
d* actions permises ou non aux usagers et s'^tend done au- 

10 dela de la notion d 1 intrusion telle que definie plus haut, 
il est prevu de prendre en compte, au niveau du dispositif 
de detection, des regies de comportement dont le non-respect 
constitue une anomalie, en plus des regies de securite dont 
le non-respect constitue de fait une. intrusion caracterisee. 

15 Le non-respect des regies se traduit done en anomalies et en 
intrusions, etant entendu qu'une anomalie est susceptible 
d ' etre ulterieurement interprets pour inf erer une T intrusion 
par le dispositif, suite au f onctionnement de ce dernier. 
Le dispositif de detection est charge de verifier si les 

20 flots de donnees de surveillance successivement re$us, ici 
sous forme d'enregistrements d f audit, en provenance de 
1* ensemble inf ormatique qu f il dessert, permettent de 
considerer que cet ensemble fonctionne normalement comme 
prevu, A cet effet, le systeme expert 01 regoit, a un niveau 

25 d' entree reference I, les enregistrements d* audit provenant 
de l f ensemble inf ormatique et il les interprfete pour en 
extraire une representation symbolique de l'etat de cet 
ensemble inf ormatique, de son comportement et de celui de 
ses utilisateurs sous la forme d 1 un reseau semantique , 

30 reference 06 et a differents niveaux d 1 abstraction en 

particulier au niveau action, activite, etc.; un tel reseau 
etant constitue comme il est connu par un ensemble d f ob jets 
servant a la modelisation qui sont lies entre eux par des 
relations a cet effet. 

35 Le systeme expert 02 assure le contrdle du comportement de 
l 1 ensemble inf ormatique 2 et de ses utilisateurs de manifcre 
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a determiner si ce comportement est en accord avec les 
regies de comportement et de securite alors etablies. 
A partir de 1» ensemble de connaissances que represente ces 
regies il determine si devolution de comportement traduite 
5 par un flot de donnees en cours d'examen correspond a un 
comportement normal reconnu ou non. Dans ce dernier cas il 
elabore un objet de type intrusion, s'il y a eu non-respect 
de regies contraignantes de securite ou un objet de type 
anomalie en cas de comportement considere comme anormal, 
10 c'est a dire en cas de comportement qui ne respecte pas les 
regies de comportement, sans toutefois violer les regies 
contraignantes evoquees ci-dessus. 
Une intrusion est ici consideree comme une faute 
caracterisee qui correspond par exemple a un vol de donnees 
15 ou a un acces par un utilisateur non autorise dans 

1' ensemble inf ormatique , une anomalie est consideree comme 
un indice de faute, c'est par exemple une impression par un 
usager d'un volume de donnees superieur au volume qui lui 
est alloue. 

20 Le dispositif de detection selon 1' invention est aussi 
charge d 1 assurer une gestion des anomalies pour emettre, 
renforcer ou confirmer des hypotheses d' intrusion et une 
gestion des intrusions pour d'une part permettre la prise de 
mesures de contention, qui sont des mesures de securite 

25 visant a contrecarrer les intrusions pour proteger 

1« ensemble inf ormatique , et d' autre part tenter d' identifier 
les usagers susceptibles d'etre impliques dans une tentative 
simple ou complexe d' intrusion. 

A cet effet, le systeme expert 03 est charge d • interpreter 
30 les nouvelles anomalies a partir des objets, de type 
anomalie, incorpores dans un ensemble d'objets, ici 
reference 07, et relies au reseau semantique 06. II exploite 
une base de connaissances, propre pour 1 ' interpretation des 
anomalies et il pose des hypotheses d' intrusion en cas 
35 d' incertitude d ■ interpretation . Des objets de type hypothese 
d« intrusion sont produits dans ces conditions, afin d'etre 
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incorpores avec les objets de type intrusion dans un 
ensemble d' objets, ici reference 08, ces objets etant relies 
au reseau semantique 06 • 

Le processus de raisonnement de ce systSme expert 03 prend 
5 en compte des regies §tablies, qui ne sont pas consider§es 
come totalement contraignantes , afin de determiner si la ou 
les violation (s) constatee(s) d'une ou de plusieurs regies, 
traduites par la presence d f une anomalie ou de plusieurs / 
sont susceptibles ou non d'etre acceptees par l 1 ensemble 
10 informatique sans danger. Des objets de type hypothese 
d' intrusion simple, renforcee ou confirmee sont produits 
suivant les conditions et les risques • Une hypothese 
d ■ intrusion confirmee est consid§r6e comme une intrusion a 
part entiere • 

15 Si plusieurs anomalies conduisent vers une meme hypothfese 
cette derniere est renforcee et il est prevu de lui affecter 
un coefficient de certitude de plus en plus eleve au niveau 
de l'objet qui la represente, le depassement d'un seuil 
eleve donne de niveau de certitude conduisant ici ci la 

20 confirmation d'une hypothese d 1 intrusion/ dSs lors prise en 
compte en tant qu' intrusion caract§risee . 
Le systerae expert 04 est charge de correler et interpreter 
les intrusions, h partir des objets de type intrusion et 
hypotheses d f intrusion incorpores dans 1' ensemble d' objets 

25 reference 08, afin de produire de nouveaux objets, de type 
intrusion ou hypothese d' intrusion, et de relier des objets 
de l 1 ensemble 08 entre eux. II est ainsi charge de la prise 
en compte des intrusions complexes, par exemple celles qui 
relfevent d'attaques conjuguees impliquant une collusion 

30 entre des usagers, ou celles qui interviennent en cascade et 
ont en consequence des liens logiques ou temporels les 
unissant . 

II est done apte & produire des objets de type intrusion ou 
hypothese d' intrusion du type deja evoque plus haut et & 
35 preciser leurs liens. 
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Le systeme -expert 05 est charge de la gestion des usagers 
suspects en vue de determiner a partir des objets de type 
anomalie, intrusion et hypothese d' intrusion, ceux des 
usagers qui en sont reellement responsables et qui sont done 
5 suspects d' intrusion et en vue de leur attribuer en 

consequence un coefficient caracteristique correspondant, 
ici appele degre de suspicion. II definit en consequence des 
objets de type suspect par raisonneraent a partir des objets 
evoques ci-dessus qu'il prend en compte et il emplit un 
10 ensemble d'objets correspondant ici reference 09, ces objets 
etant relies au reseau semantique 06. 

Dans la realisation envisagee, les systemes experts 01 a 05 
partagent un meme moteur d' inferences, fonctionnant en 
chainage avant, qui est exploite en liaison avec autant de 
15 bases de connaissances qu'il y a de systemes experts. 

Les systemes experts 01 a 05 sont ici bases sur des regies 
de production d'ordre un, e'est-a-dire comportant des 
variables, comme il est connu. Ces systemes sont regis par 
1' application 0, de type tableau noir, qui permet a chacun 
20 de communiquer aux autres les faits qu'il a obtenus par 
raisonnement et qu'il a classes afin de permettre a chacun 
de les exploiter. A chaque evenement constitue soit par 
l'arrivee d'un flot de donnees de surveillance, sous la 
forme d'un enregistrement d» audit, soit par l'ecriture d'un 
25 objet, 1' application 0 est chargee d' assurer en fonction des 
regies qui la regissent alors le declenchement, pour un 
cycle de travail, d'un systeme expert eventuellement choisi 
par elle parmi plusieurs, si plus d'un entre eux est 
susceptible de prendre en compte cet evenement, comme cela 
30 est connu. Ainsi, en cas d'arrivee d'un enregistrement 
d« audit, la priorite est normalement donnee au systeme 
expert 01 charge d • interpreter le comportement de 1' ensemble 
informatique surveille, alors qu'en cas d'ecriture d'un 
objet, de type intrusion, priorite est donnee au systeme 
35 expert 05 charge de la gestion des usagers suspects dans la 
mesure ou leur signalisation ainsi que celle des intrusions 
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a la personne ayant la responsabilite de la security du 
systfeme informatique est un objectif priori taire du 
dispositif selon 1' invention. 
* L 1 information de ce(s) responsable(s) s f effectue par 
5 1 1 interm6diaire de l 1 interface homme-application 00 qui 

donne acces aux connaissances emmagasinees dans des bases de 
donnees et de faits qui seront evoquees plus loin; cette 
information traduite par 1' inter face sous une forme 
humainement exploitable est destinee a permettre une mise en 

10 oeuvre de mesures de contention au niveau de 1" ensemble 
informatique, a partir de 1' analyse de la situation telle 
que traduite par le dispositif de detection et avec, 
l f assistance de ce dispositif dans le choix des mesures & 
prendre, si besoin est. La signalisation des anomalies, des 

15 hypotheses d' intrusion, des intrusions/ des usagers et des 
suspicions au responsable de securite est essentielle et un 
acces aux informations memorisees au niveau du reseau 
semantique 06 et des ensembles d'objets 07 k 09 est donne 
pour permettre de connaitre et comprendre le(s) 

20 comportement(s) susceptible(s) d f avoir conduit aux faits 
signales . 

Comme indique plus haut, le dispositif de detection 

d 1 intrusions decrit ci-dessus est ici suppose destine a etre 

incorpore dans un systeme de securite charge de proteger 

25 l 1 ensemble informatique que surveille ce dispositif. - 

Un tel systdme de securite est schematise en figure 2 il est 
raontre associe Si un ensemble informatique reference 1, qui 
est ici suppose compose de plusieurs machines 2 f organisees 
en reseau. Dans la realisation envisagee, chaque machine 2 

30 est supposee comporter un syst&me d 1 exploitation 2h f un 
logiciel de base 2B/ \in logiciel applicatif 2C et une 
interface d 1 application 2D qui ne sont pas detailles ici 
dans la mesure oCi leurs constitutions respectives sont sans 
rapport direct avec 1' invention. 

35 Comme deja indique, le systfeme de securite est associe & 
l 1 ensemble informatique 1 pour le protfiger centre les 
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actions informatiques anormales et plus particulierement 
suspectes ou malveillantes , ainsi qu'indique plus haut. 
Ce systeme de securite comporte au moins une machine 3, ou 
eventuellement un reseau de machines, qui est apte a 
5 communiquer avec les machines 2 de 1" ensemble informatique 1 
pour assurer la protection de ces dernieres vis-a-vis des 
actions informatiques anormales des utilisateurs apres avoir 
ef f ectue et fait ef fectuer des operations en vue de detecter 
ces actions anormales et leurs auteurs. 

10 Le systeme de securite comporte aussi au moins une interface 
homme-machine 4 d'acces materiel et/ou logique a la ou aux 
machines 3 du systeme de securite en vue de permettre une 
supervision du systeme de securite et des interventions a au 
moins une personne ayant la responsabilite du f onctionnement 

15 de ce systeme, cette interface correspondant 

structurellement a l 1 interface homme-application 00 evoquee 
en relation avec la figure 1 . 

La detection des actions informatiques anormales est obtenue 
a partir d f informations fournies par des capteurs de 

20 perception 5 affectes a chaque machine 2 de l f ensemble 

informatique. Les capteurs 5 sont implantes dans le logiciel 
de la machine 2 a laquelle ils sont affectes, en particulier 
dans le systeme d 1 exploitation, ici reference 2A de cette 
machine, dans son logiciel de base 2B, dans son logiciel 

25 applicatif 2C et dans son interface applicative 2D. 

Certains capteurs sont destines a signaler des actions et 

des evenements intervenant au niveau des elements de 

1' ensemble informatique cible auquel ils sont respectivement 

affectes. 

30 D'autres capteurs permettent d'ef fectuer. des mesures 
cycliques ou ponctuelles, par exemple en raison de leur 
programmation temporelle propre, ou sur demande. 
Dans la realisation envisagee, les informations recueillies 
par les differents capteurs d'une machine 2 sont traduites 

35 sous forme d ' enregistrements d 1 audit estampilles selon 

I'horloge locale de la machine dont ils proviennent et elles 


2706652 


11 

• * 

sont rass^mblees et mises en forme au niveau d f un moniteur 
local 7 affecte a cette machine 2. Ce moniteur local 7 est 
relie a un moniteur global 8 de machine 3 du systeme de 
securite, auquel il transmet les donnees d' audit qu'il a 
5 regues. Le moniteur global 8 d'une machine 3 assure la 

collecte des donnees d 1 audit provenant des moniteurs locaux 
7 desservis par cette machine 3 et en consequence relifis a 
lui; il leiir transmet les donnees de parametrage et les 
deraandes et/ou commandes qui sont fournies par la machine 3 

10 le comportant et qui sont destinees aux capteurs 4 et aux 
effecteurs 5 que ces moniteurs locaux 7 desservent. 
Les effecteurs 6 sont des processus ou autres agents 
permettant de mettre en oeuvre des mesures de contention 
pour contrecarrer les tentatives d' intrusion, ils sont 

15 prevus implantes dans le logiciel de la machine 2 a laquelle 
ils sont affectes. Dans I'exemple de realisation propose, 
cette implantation concerne le systeme d 1 exploitation 2 A, le 
logiciel de base 2B, le logiciel applicatif 2C et 
I 1 interface applicative 2D de la machine 2 consid^ree. 

20 Les effecteurs 6 sont par exemple des processus qui . 
disposent de privileges particuliers leur permettant 
d'affecter les droits ou 1' existence d 1 autres processus, ce 
sont alternativement des agents qui correspondent par 
exemple a des parties de code dans des logiciels qui sont 

25 capables d f affecter 1 1 utilisation faite de ces logiciels. 
Les mesures de contention qu'ils mettent en oeuvre sont par 
exemple des deconnexions , des changements de droits ou de 
priorite, des destructions de processus. 

Comme indique plus haut, les effecteurs 6 sont invoques par 
30 le moniteur local 7 de la machine 2 a laquelle ils sont 
af f ectes pour appliquer les mesures specif iques de 
contention ordonnees par la machine 3 du systeme de securite 
avec le moniteur global 8 de laquelle ce moniteur local 7 
dialogue. 

35 Un moniteur local 7 comporte par exemple - voir figure 3 -: 
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- un collecteur. local d' audit 70 ou sont temporairement 
recues dans un tampon les donnees d' audit des capteurs 5 
relics a ce moniteur local 7. 

- une base de donnees d' audit 71 pour le stockage des 

5 enregistrements d' audit recus par le collecteur local 70 et 
notamment de ceux qui ne sont pas immediatement transmis 
vers le moniteur global 8 avec lequel dialogue le moniteur 
local 7, par exemple en raison d'un filtrage impose par 
1 ' intermediaire de ce moniteur global 8, 
10 - un moniteur d 1 audit 72 pour le parametrage des capteurs 5 
relies au moniteur 7 , selon les commandes emanant du 
moniteur global 8 defini ci-dessus, 

- un moniteur de contention 73 pour la commande des 

eff ecteurs en fonction des mesures specifiques de contention 
15 qui sont susceptibles d'etre transmises par le moniteur 
global 8 defini ci-dessus et qui sont destinees a etre 
appliquees au niveau de la machine 2 comportant le moniteur 
local 7. 

La taille et le nombre d • enregistrements traites en un seul 

20 lot sont choisis tels qu'il soit possible de restaurer 
l'ordre correct des enregistrements dans le flot d' audit, 
l'estampille de ces enregistrements jusqu'alors basee sur 
l'horloge de la machine 2 etant traduite, au niveau du 
moniteur local, en une estampille relative a une horloge 

25 globale pour le systeme de securite. Une resolution locale 
des references est aussi effectuee a ce niveau, elle 
consiste a assurer un etiquetage correct des enregistrements 
par exemple par processus et par usager ainsi que des 
donnees d 1 investigation fournies suite a des requetes 

30 specifiques de la machine 3 du systeme de securite dont fait 
partie le moniteur global auquel les enregistrements sont 
transmis. Le filtrage evoque plus haut permet de ne pas 
transmettre a ce moniteur global 8 les enregistrements ne 
satisfaisant pas les clauses logiques specifiees par des 

35 contraintes de focalisation imposees par la machine 3 qui le 
comporte . 
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Dans la realisation envisag§e, le moniteur global 8 d'une 
machine 3 de systeme de securite assure au inoyen d'un 
collecteur principal d 1 audit 80 - voir figure 3- la collecte 
des enregistrements d* audit provenant des machines 2 de 
5 l 1 ensemble informatique 1 qui lui sont rattachees et 
l'archivage de ces enregistrements, & des fins de 
consultation ulterieure, dans une base centrale de donn^es 
d 1 audit 15 - voir figure 2 - de la machine 3 qui le 
comporte. 

10 Cette collecte s'effectue par exemple par accumulation 
ordonnee dans un tampon des enregistrements provenant des 
collecteurs locaux d 1 audit 70 , la taille du tampon et le 
nombre d 1 enregistrements trait§s en un mSme lot etant 
choisis pour permettre cette accumulation ordonnee. 

15 Les enregistrements sont pref erablement traduits vers une 
representation orientee objet commune a tous les modules du 
systfeme de securite, hormis ceux qui sont implant^s dans 
!■ ensemble informatique 1. Chaque moniteur global 8 comporte 
aussi un moniteur d 1 audit 81 lui permettant d'envoyer des 

20 instructions aux moniteurs locaux 7 qu'ii dessert , en vue de 
leur permettre de calculer les directives de parametrage des 
capteurs, d f effectuer des investigations locales, et de 
realiser un filtrage au niveau de leurs collecteurs locaux 
d f audit 70, respectifs, en fonction de contraintes de 

25 focalisation determinees. 

Ce moniteur global 8 comporte encore un moniteur de 
contention 82 assurant la repartition des mesures de 
contention aux moniteurs locaux 7 desservis par lui qui ont 
^ les appliquer et avec lesquels il dialogue. 

30 Le moniteur global 8 d f une machine 3 d f un systfeme de 

securite agit sous le contrdle d f un dispositif de detection 
10 auquel il communique les enregistrements traduits vers 
une representation orientee objet qui ont ete obtenus & 
partir des enregistrements d f audit fournis par les moniteurs 

35 locaux 7 des machines 2 de I 1 ensemble informatique 1 qu f il 
dessert. II regoit et transmet & ces moniteurs locaux 7 les 


2706652 


14 


4 * 

instructions de surveillance destinees a faire assurer le 
parametrage des capteurs et la mise en oeuvre 
d' investigations locales, les instructions de focalxsatxon 
de filtrage local d' audit et celles relatives aux assures de 
5 contention a faire appliquer par les effecteurs 6 desservxs 
par ces memes moniteurs locaux 7. 

Le dispositif de detection 10 est presents inclus dans une 
seule machine 3 sur le schema de la figure 2, bien qu'il 
puisse eventuellement etre reparti entre plusieurs machines 
10 si besoin est. II est structurellement realise a 1'axde de 
composants construits par regroupement de f onctions 
constituant des ensembles logiques de traitement suxvant 
leur position et leur niveau d' abstraction. Chaque composant 
correspond a une unite structurelle destinee a etre 
15 implantee sous forme d'un processus ou d'un groupe de 

processus partageant des donnees communes, comme le sont par 
ailleurs les capteurs, les effecteurs et les moniteurs. 
Dans la realisation proposee figure 2, le disposxtif de 
detection 10 comporte essentiellement un abstracteur- 
20 investigateur 11, un analyseur-controleur 12 et un 

gestionnaire de suspicion et de reaction 13 auxquels sont 
associees une pluralite de bases de donnees. 
L'abstracteur-investigateur 11 correspond au systeme expert 
d- interpretation du comportement 01 evoque plus haut, il 
25 construit une image du comportement de 1' ensemble 
informatique 1 auquel il est associe, a partir des 
informations qui lui sont fournies. 
II regroupe plusieurs fonctions af in de fournir les 
informations necessaires a 1- analyse et au controle du 
30 comportement de 1' ensemble informatique 1 a part!r du flot 
d' audit transmis par le moniteur global 8 qux lux est 

associe* f 
II dispose a cet effet d'un abstracteur d'audit 110, d un 
investigateur d'audit 111 et d'un investigates de 
35 comportement 112, ainsi qu'on le voit sur la figure 4. 
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L 1 abstracteur d' audit 110 effectue une correlation et une 
interpretation des enregistrements , ces derniers 
representant des indices de comportement qui doivent etre 
r6unis suivant leur semantique pour inferer des informations 
5 relevant du comportement des entites. L ' interpretation de 
ces indices repose sur un modele de 1* ensemble informatique 
cible 1 et sur des connaissances propres a 1 1 application 
mise en oeuvre par cet ensemble. 

L • abstracteur 110 effectue aussi une contextualisation du 

10 comportement par interpretation des enregistrements: d 1 audit 
en exploitant si necessaire des informations de contexte, 
relatives au comportement caracterise, qui sont soit 
eventuellement presentes dans une base de fait-s 17, dite 
image du comportement, soit recherchees . dans une base de 

15 donnees 16 r dite de comportement. 

L 1 abstracteur 110 effectue encore une focalisation sur le 
comportement par f iltrage des donnees avant envoi vers 
1 1 analyseur-contrdleur 12 associe et enregistrement dans la 
base de faits 17, afin d'Sliminer les informations qui ne 

20 verifient pas les clauses logiques specif iees par des. 
contraintes de focalisation relatives au comportement. 
L 1 abstracteur 110 effectue enfin un archivage des 
informations de comportement interpretees dans la base de 
donnees de comportement 16 pour consultation ulterieure 

25 notamment par 1 1 invest igateur de comportement 112 et par 
lui-meme. 

Comme indique ci-dessus, 1 1 abstracteur 110 est controle par 
1 1 investigateur de comportement 112 associe a lui dans le 
meme abstracteur-investigateur et il est active soit par les 
30 enregistrements d 1 audit qu'il regoit du moniteur global 8 
associe, soit par des donnees d 1 investigation a traiter en 
provenance de 1 1 investigateur d 1 audit ill associe. 
En relation avec les fonctions definies ci-dessus, il assure 
pratiquement : 

35 - une interpretation des informations d f audit, transmises 
par le collecteur d f audit 80 du moniteur global 8 associe, 
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en vue de creer, 1 ' image temporelle et spatiale de l'etat et 
du coraportement de la cible que constitue le systerae 
informatique 1, sous forme d'un reseau semantique dans la 
base de faits 17; 

- une interpretation de donnees d ' investigation obtenues en 
reponse a des demandes de 1 ' investigateur de comportement 
112 associe; 

- un filtrage des informations de comportement destinees a 
etre transmises a 1 ' analyseur-controleur 12 pour 
exploitation et a la base de faits image du comportement 17 , 
pour stockage, ce filtrage s'effectuant en fonction de 
contraintes de focalisation communiquees par 1 1 investigateur 
de comportement 112. 

L' image de 1" ensemble informatique est construite a partir 
des informations stockees deja evoquees ainsi que de celles 
contenues dans une base de donnees 14 d^finissant un modele 
de la cible que constitue l 1 ensemble informatique 1, de 
celles directement fournies par le collecteur d' audit 80 du 
moniteur global 8 qui dessert 1 ' abstracteur 110, de celles 
stockees dans une base centrale de donnees d' audit 15 et de 
celles fournies par 1 • investigateur 111 associe a cet 
abstracteur 110. Les resultats obtenus par 1' abstracteur 110 
sont notamment stockes dans la base de donnees de 
comportement 16 ou dans la base de faits image du 
comportement 17, qui est exploit ee en retour par 
1 • abstracteur 110 pour ses constructions d' image. 
L' investigateur d' audit 111 est commande par 1 ' investigateur 
de comportement 112 de 1 • abstracteur-investigateur 11 qui le 
comporte, il assure: 

- la recherche et la commande d' acquisition de donnees 
particulieres d' audit dans la base centrale de donnees 

d' audit 15, a la demande de 1 • investigateur de comportement 
112 agissant pour 1 ' analyseur-controleur 12 ou le 
gestionnaire de suspicion et de reaction 13 associes; 

- la transmission des elements de reponse fournis par le 
collecteur d' audit 80 du moniteur global 8 associe a 
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1' investigateur de comport ement 112, via 1 1 abstract eur 110 
auquel il est reli§; 

- la focalisation des collecteurs d f audit 70 , 80 dependant 
de lui. 

5 L • investigateur de comportement 112 a pour rdle essentiel de 
rechercher les informations desirees par l'analyseur- 
controleur 12 et le gestionnaire de suspicion et de reaction 
13 dans la base de donnees de comportement 16 et de 
commander leur acquisition par envoi de requetes 
10 d ■ investigation de comportement a 1 1 investigateur d' audit 
111 auquel il est relie ou leur traitement par envoi de 
contraintes de focalisation a 1 ' abstracteur 110 auquel il 
est egalement relie, 

A cet effet, 1 1 investigateur de comportement 112 assure une 
15 agregation des requetes d 1 investigation de comportement 
qu'il regoit afin de voir si elles se completent ou se 
recoupent et peuvent en consequence etre regroupees pour 
factoriser leurs traitements. 

L 1 investigateur de comportement 112 effectue les recherches 
20 dans la base de donnees de comportement 16 en construisant 
les demandes de maniere a obtenir les reponses aux requetes 
d' investigation et a demander des recherches au niveau audit 
en cas de requete non satisfaite. 

Lorsque des informations desirees ne sont pas stockees dans 
25 la base de donnees de comportement 16/ 1 1 investigateur de 
comportement 112 commande leur recherche a 1 1 investigateur 
d 1 audit 111 auquel il est relie afin que ce dernier les 
trouve dans la base centrale de donnees d' audit 15, Les 
enregi str ement s d 1 audit retrouves sont alors interpretes par 
30 1 1 abstracteur 110 pour construire les informations de ; 
comportement qui constituent les resultats de 
1 1 investigation . Ces resultats sont alors transmis a 
1 1 investigateur de comportement 112 pour envoi a leur 
destinataire . 

35 L 1 investigateur de comportement 112 est egalement apte & 

calculer une nouvelle focalisation de 1 ' abstracteur 110 et a 
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faire calculer de nouvelles instructions de controle d' audit 
et de focalisation par 1 ' investigateur d' audit 111, sur 
demande de 1 ■ analyseur-controleur 12 pour des informations a 


venir . 


10 


L'analyseur-contrdleur 12 du dispositif de detection selon 
1' invention est preferablement constitue par une pluralite 
de modules qui sont destines a permettre une analyse et un 
controle du comportement de 1' ensemble informatique 1 par 
raisonnement sur 1' image du comportement qui a ete 
construite afin de detecter les anomalies et les intrusions 
susceptibles d'affecter la securite de cet ensemble. 
Les fonctionnalites d' analyse du comportement tirent parti 
du modele construit de 1' ensemble informatique 1 et des 
connaissances du domaine possedees pour inferer le 
15 comportement a d'autres niveaux et pour verifier les 
correspondances entre des comportements de niveaux 
differents. Ces fonctionnalites se divisent en analyse 
cognitive du comportement des usagers et en analyse du 
comportement operatoire de 1« ensemble informatique c'est-a- 
20 dire des actions, des etats et des evenements au sein de cet 
ensemble . 

Dans la realisation envisagee, 1- analyse cognitive du 
comportement des usagers comprend ici 1' analyse des missions 
de ces usagers, de leurs taches, de leurs buts, de leurs 
25 plans et de leurs cooperations, ces analyses sont realisees 
a partir de modules specialises correspondants references de 
120 a 124 sur la figure 5 ou figure 1 • analyseur-controleur 


12. 


L'analyseur de missions reference 120 est destine a verifier 
30 que les taches en cours pour un usager, alors considere, 
dans 1' ensemble informatique 1 correspondent aux missions 
specifiees par les roles propres a cet usager et a inferer 
de nouvelles missions a partir des taches non prises en 
compte par les missions courantes. 
35 II exploite notamment a cet effet la base modele de la cible 
14, la base de faits image du comportement 17, et coopere 
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avec 1 1 investigateur de comportement 112 et avec certains 
des autres modules de 1 ' analyseur-contrdleur 12/ tels qu'un 
module analyseur de taches 121 et un module analyseur de 
cooperations 124. II informe plus particulierement le 
5 gestionnaire de suspicion et de reaction 13* 

Les taches en cours qui sont reconnues par le module 
analyseur de taches 121 sont confrontees aux specif ications 
de taches recensees par les missions affectees a 1' usager et 
par les rdles que cet usager remplit, une verification par 

10 comparaison a un module (dite pattern matching) est par 
exeraple mise en oeuvre a cet effet. Lorsque dest&ches ne 
correspondant a aucune mission sont abstraites, elles sont 
signal§es a 1' analyseur de cooperation et/ou a un module 
gestionnaire d 1 anomalies du gestionnaire de suspicion et de 

15 reaction 13. 

L' analyseur de taches 121 qui est de niveau d 1 abstraction 
inferieur au precedent est charge de verifier si les 
nouveaux buts inferes pour les usagers entrent ou non dans 
leurs taches courantes et s'il n'y a pas de demurrages de 

20 nouvelles taches lorsque les buts de ces taches restent 
inexpliques. - 
II exploite a cet effet la base modele de la cible 14, la 
base de faits image du comportement 17, et coopere avec 
l 1 analyseur de missions 120, avec un module analyseur de 

25 buts 122, ainsi qu'avec 1 1 investigateur de comportement 112; 
il informe plus particulierement le gestionnaire de 
suspicion et de reaction 13. ^ 
Une comparaison a un module, de meme type que celle evoquee 
plus haut, permet de determiner si les buts en cours pour un 

30 usager qui sont reconnus par l f analyseur de buts 122 

correspondent aux specifications de buts donnees par les 
taches reconnues prec^demment ou decoulant des missions 
affectees a cet usager. Les buts ne correspondant a aucune 
tache reconnue sont eventuellement abstraits, ou envoyes h 

35 I 1 analyseur de cooperation 124 ou encore au gestionnaire de 
suspicion et de reaction 13, suivant le cas. 
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L'analyseur de buts 122 est destine a tirer parti des 
actions, activites generales et plans reconnus pour un 
usager de maniere a inferer ses buts, il assure aussi une 
evaluation de la satisfaction des buts courants par les 
plans mis en oeuvre. 

II exploite la base modele de la cible 14 , la base de faits 
image du coniportement 17, et il coopere avec l'analyseur de 
taches 121, un module analyseur de plans 123, l'analyseur de 
cooperations 124 et 1 ' investigateur de comportement 112; il 
) informe plus particulierement le gestionnaire de suspicion 
et de reaction 13. 

A cet effet, il compare les plans en cours qui ont ete 
reconnus par l'analyseur de plans 123 a ceux qui sont 
recenses pour les buts en cours ou attendus d'un usager, 
5 alors considere. Les plans ou actions ne correspondant a 
aucun but modelise sont abstraits, envoyes a l'analyseur de 
cooperation 124 ou encore signales comme des anomalies au 
. gestionnaire de suspicion et de reaction 13. 

L'analyseur de plans 123 est destine a reconnaitre les plans 
0 executes par les usagers a partir de leurs actions presentes 
ou anterieures, d'apres les plans en cours et les buts 
inferes. Il permet d'isoler les actions qui ne correspondent 
pas aux plans en cours et qui necessitent eventuellement une 

analyse poussee. 
25 II exploite la base modele de la cible 14, la base de faits 
image du comportement 17 et une base de donnees de plans 19. 
II coopere avec l'analyseur de buts 122, 1 • abstracteur 110, 
l'analyseur de cooperations 124 et 1 • investigateur de 
comportement 1.12. Il informe plus particulierement le 

30 gestionnaire de suspicion et de reaction 13. 

Dans la mesure ou chaque action nouvelle entreprise par un 
usager peut poursuivre un plan en cours, demarrer un nouveau 
plan ou etre une action isolee, elle est par exemple reliee 
par des graphes aux actions anterieures qui n'ont pas encc-e 

35 ete oubliees pour 1' operation de reconnaissance de plans; 
chaque graphe represente alors 1- occurrence d'un plan dont 
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l f action est susceptible de faire partie- Une action est ici 
consideree comme oubliSe selon la terminologie employee ci- 
dessus, lorsque le plan auquel elle est rattachee est 
termine et valide. Les actions inexpliquees sont 
5 susceptibles d'etre envoyees & l'analyseur de cooperation 
124 ou signalees en tant qu 1 anomalies . : 
Les graphes repr§sentant des candidats resultant de la 
reconnaissance de plans sont e values, comme indique plus 
haut, afin que seuls soient retenus les plus plausibles, des 

10 heuristiques etant employes a des fins limitatiyes, tel le 
choix preferentiel des hypotheses correspondant a la 
satisfaction d f un but courant ou attendu. Ces evaluations 
sont susceptibles de conduire a une signalisation 
d'anoraalie, si justifie, 

15 L f analyseur de cooperations 124 est destine a reconnaitre 
I 1 occurrence de cooperations , specif iees ou non dans le 
modele de 1* ensemble informatique 1 / a partird' actions, de 
plans ou de t&ches , inexpliques par 1 ' analyse des plans , 
taches et missions; la reconnaissance de cooperations non 

20 specif iees et ne correspondant pas a la structure de . 

I 1 organisation ou de l f application doit se traduire par line 
signalisation d' anomalies 

La base modele de la cible 14 et la base de faits image du 
comport ement 17 sont exploitees par les analyseurs de 
25 missions, de taches et de plans 120, 121, 123; 1 1 abstract eur 
110 et 1 1 invest igat eur de comport ement 112 coopdrent avec 
l f analyseur de cooperations 124 qui informe plus 
par ticulier ement le gestionnaire de suspicion et de reaction 
13, 

30 Les cooperations potentielles entre usagers, qui sont 
specif iees par la modelisation organisationnelle incluse 
dans le modele de la cible, sont explorees pour detecter 
leurs occurrences, Le modele de l f ensemble informatique 1 et 
des connaissances expertes relatives au domaine de 

35 1 1 application sont exploites pour la reconnaissance d'une 
§ventuelle cooperation d f un usager avec au moins un autre 
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qui permettrait d'expliquer des actions, plans, buts, taches 
autrement restes inexpliques. 

L 1 analyse du comportement operatoire de l 1 ensemble 
inf ormatique 1, qui complete 1' analyse cognitive evoquee ci- 
5 dessus, comprend ici une analyse des comportements tant 
actifs que passifs au sein de cet ensemble/ les premiers se 
definissant en termes d' actions , les seconds en termes 
d'evenements ou d'etats. Cette analyse de comportement 
operatoire est mise en oeuvre a I'aide de modules 

10 specialises references 125 et 126 sur la figure 5. 
L' analyse des actions qui est assuree par un module 
analyseur 125 , est destinee a assurer la detection des 
modalites anormales d 1 execution des operations dans 
l 1 ensemble inf ormatique 1. Elle s'effectue par un controle 

15 de conformite des effets des actions aux specifications des 
operations, par une verification de la repercussion des 
actions aux couches sous-jacentes, toute action non 
satisfaisante etant signalee en tant qu"anomalie. 
Le module analyseur d 1 actions 125 exploite notamment la base 

20 modele de la cible 14 et la base de faits image du 
comportement 17; il coopere avec 1 1 abstracteur 110 et 
1 1 invest igateur de comportement 112 et il informe plus 
particulierement le gestionnaire de suspicion et de reaction 
13. 

25 L 1 analyse des actions s'effectue par controle de protocole, 
les recepteurs et parametres mis en oeuvre par les actions 
etant analyses par rapport aux modeles des operations 
executees. Elle s'effectue aussi par controle d' effets, les 
etats et evenements faisant suite aux actions etant 

30 confrontes a la specification des effets des operations 
executees. Elle s'effectue encore par controle des 
repercussions, les eventuelles actions secondaires, a un 
meme niveau ou dans une couche sous-jacente, qui constituent 
des repercussions d' actions primaires, etant evaluees par 

35 rapport aux specifications d 1 effets des operations 
executees . 
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L * analyse des etats et evenements qui est assuree par un 
module analyseur 126, est destinee a assurer la detection 
des etats et evenements anormaux dans 1' ensemble 
informatique 1, etant consideres coirane anormaux les etats et 
5 evenements qui ne correspondent pas a leurs causes ou a 
leurs specifications et qui sont incoherents entre eux ou 
par rapport aux actions effectuees sur les entites. 
L' analyseur d' etats et evenements 126 exploite a cet effet 
la base modele de la cible 14 et la base de faits image du 
10 comportement 17. II cooper e avec 1 ' abstracteur 110 et 
1 • investigateur de comportement 112. II informe plus 
particulierement le gestionnaire de suspicion et de reaction 
13. 

Un contrdle de protocole est ef fectue par analyse des etats 
15 ainsi que des parametres et caracteristiques des evenements 
par rapport au modele des evenements et del 1 ensemble 
informatique 1 . Un contr81e de coherence est igalement 
ef fectue; il verifie la correspondance entre, d'une part, 
les etats et evenements secondaires faisant suite aux etats 
20 et eveneraents analyses et, d' autre part, les actions et 
historiques des entites que constituent les agents , 
processus et objets de 1' ensemble informatique 1. 
Les f onctions de contrdle de comportement qu'incorpore 
1 ' analyseur-contrdleur 12 sont ici assurees par une 
25 pluralite de modules references 127, 128, 129A et 129B sur 
la figure 5. 

Ces fonctions de contrdle sont destinees a verifier la 
conformity du comportement de 1' ensemble informatique 1 par 
rapport a ici trois referentiels correspondants. qui sont 

30 respectivement classifies historique, operationnel et 

intrusionnel . lis contiennent respectivement des profils, 
une expression des politiques de securite de comportement et 
un historique des scenarios d'attaque et des descriptions 
d' intrusions. Les fonctions de contrdle ont pour objet de 

35 verifier que le comportement determine par constatation est 
conforme aux profils, qu'il respecte les politiques de 
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securite et de .comport ement etablies; elles doivent aussi 
detecter I'eventuelle mise en oeuvre de scenarios d'attaque. 
La conformite du comportement determine par constatation par 
rapport aux profils archives est verifiee par un module 127 , 
5 dit controleur de profils. Les profils rattaches aux entites 
denotent leur comportement habituel et ceux definis pour des 
classes et groupes d' entites sont consideres coirane des 
references de comportement standard ou typique. Un test de 
correspondance symbolique ou numerique et principalement 

10 statistique est realise pour controler le profil d'une 
entite; les mesures correspondant a ses caracteristiques 
sont ef f ectuees sur le comportement et elles sont comparees 
aux valeurs enregistrees dans le profil archive, Une 
conformite globale au profil archive est evaluee par exemple 

15 d'apres les correspondances des mesures individuelles, elle 
entraine une signalisation d'anomalie, si la conformite est 
consideree comme mauvaise. 

Le controleur de profils 127 exploite a cet effet la base 
modele de la cible 14 et la base de faits image du 

20 comportement 17, une base de donnees de profils 20. II 
cooper e avec 1 1 abstract eur 110 et 1 1 invest igateur de 
comportement 112. II informe plus particulierement le 
gestionnaire de suspicion et de reaction 13. 
Une action est susceptible de donner lieu a une verification 

25 de profil de l'acteur, usager ou agent, de l 1 action et des 
r ecepteurs/ agents ou objets subissant l 1 action. 
Un evenement, un etat ou une autre information de 
comportement est aussi susceptible de provoquer la 
verification du profil des unites impliquees. 

30 Pour la mesure des caracteristiques, les arguments auxquels 
s'appliquent ces caracteristiques sont values et les 
methodes de mesure leur sont appliquees, ces methodes etant 
definies par les classes qui representent les types de 
mesure. Des demandes a 1 ' investigateur de comportement 112 

35 permettent d'obtenir les eventuelles donnees manquantes. 


2706652 


25 

Pour la verification du respect des profils, les 
caracteristiques determinees sont confrontees, par exemple 
par test statistique ou par correspondance symbolique, avec 
les valeurs correspondantes du profil et une conformite 
5 globale est estimee d'apr&s les correspondances respectives 
des differentes caracteristiques. Les ecarts sont consideres 
comme representatif s d'un comportement inhabituel ou 
atypique correspondant a une anomalie. 

Le contrdle des politiques est assure par un module 129A 

10 pour la securite et un module 129B pour le comportement, ces 
modules verifient les regies exprimees sur le comportement 
pergu et infere de l 1 ensemble informatique 1 et des usagers, 
qui sont par exemple exprimees sous forme de contraintes par 
des clauses logiques ou comme des regies de, production. 

15 Le module de controle de la politique de la securite 129A 
verifie le respect de la politique de securite tant en ce 
qui concerne le comportement actif que passif / il est ici 
activ6 par 1 1 abstracteur 110 ou par les mises cL jour de 
l f image du comportement. II exploite la base module de la 

20 cible 14, la base de faits image du comportement 17 et une 
base de donnees de politique de securite 21, il coopfere avec 
I 1 abstracteur 110 et avec 1 • investigateur de comportement 
112. II est apte a eraettre des requetes Sl destination de 
1 1 investigateur de comportement en cas de besoin et il 

25 informe plus particulierement le gestionnaire de suspicion 
et de reaction 13. 

Comme deja indique, les comportements qui ne verifient pas 
les regies de la politique de securite sont consideres comme 
des intrusions et signales en consequence au gestionnaire de 

30 suspicion et de reaction 13 et bien entendu au responsable 
de securite directement ou via ce gestionnaire. 
Le module de controle de la politique de comportement 129B 
verifie le respect de la politique de comportement, il est 
egalement active par 1 1 abstracteur 110 ou par les mises a 

35 jour de l f image du comportement. II exploite la base modele 
de la cible 14, la base de faits image du comportement 17 et 
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une base de donnees de politique de comportement 22, il 
cooper e avec 1 ' abstracteur 110 et 1 1 investigateur de 
comportement 112. II est apte a emettre des requetes a 
destination de 1 1 investigateur de comportement en cas de 
5 besoin et il informe plus particuli&rement le gestionnaire 
de suspicion et de reaction 13. 

Le non-respect des regies de politique de comportement est 
considere comme significatif d'anomalie ou d 1 intrusion 
suivant I'espece et est signale en consequence au 

10 gestionnaire de suspicion et de reaction 13 et au 

responsable de securite via ce gestionnaire , si necessaire. 
La detection des eventuelles mises en oeuvre de scenarios 
d'attaque deja connus est effectuee par 1 ' intermediaire d'un 
module identif icateur 128. Elle repose sur une prise en 

15 compte des actions, etats et evenements impliques dans une 
execution. Un scenario d'attaque defini pour une intrusion 
donnee est susceptible d'etre reconnu si le comportement des 
entites et de I 1 ensemble informatique correspond aux 
specifications qu'il inclut. Une verification de la 

20 realisation effective des actions specif iees par un scenario 
et des etats et/ou evenements auxquelles elles aboutissent 
est done susceptible d'etre faite. Une concordance partielle 
traduit deja une anomalie qui se transforme en intrusion si 
le niveau de concordance atteint un seuil de certitude 

2 5 predetermine . 

A cet effet, le module identif icateur 128 exploite la base 
modele de la cible 14, la base de faits image du 
comportement 17 et des bases de donnees d 1 intrusions 23 et 
de scenarios d'attaque 24, il coopere avec 1 1 abstracteur 

30 110, avec 1 ' investigateur de comportement 112 et avec le 
gestionnaire de suspicion et de reaction 13 qu'il informe. 
II est guide par les donnees par exemple a l 1 occurrence de 
nouvelles actions ou de nouveaux evenements. Une nouvelle 
action d'un acteur, un nouvel etat ou un nouvel evenement 

35 est susceptible de faire partie d'un scenario d'attaque 

courant, de demarrer un nouveau scenario d'attaque ou encore 
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d'etre un Element de comportement isoiy, il doit done etre 
confronte aux scenarios en cours d'examen et aux debuts des 
scenarios connus; chaque possibility de scenario est ici 
supposee representee par ion graphe reliant les el§ments de 
5 comportement concernes. Une Evaluation des graphes 
susceptibles d'etre reconnus comme impliques dans un 
scenario est realisee pour selectionner les plus plausibles 
d'entre eux, des heuristigues sont par exemple exploites 
pour delimitation. Le degri de conformity vis-d-vis d f un 

10 scenario d'attaque connu permet de determiner si 1' action 
permet d'inferer une anomalie ou une intrusion. Les 
intrusions soupgonnees donnent eventuellement lieu & une 
planification et la base de donnees de scenarios d'attaque 
24 est alors completee par les nouveaux scenarios d'attaque 

15 qui ont ete obtenus. 

Le gestionnaire de suspicion et de reaction 13 du dispositif 
de detection selon !• invention est generalement destine a 
servir d 1 intermediaire entre 1 1 analyseur-controleur 12 et 
d' une part l f ensemble informatique 1, d' autre part le 

20 responsable de security, via l 1 interface homme-machine 4, 
pour ce dernier. II est destine a permettre 1 ■ interpretation 
des anomalies et intrusions qui sont signalees par 
1 1 analyseur-controleur 12, a evaluer le degr6 de suspicion 
des usagers et a aider a declencher les mesures de 

25 contention necessaires, sous la supervision du responsable 
de securite qu'il assiste. 

Le gestionnaire de suspicion et de reaction 13 comporte ici 
une plurality de modules references 130 a 135, un premier de 
ces modules, reference 130 est un gestionnaire d 1 anomalies 

30 qui est charge de traiter les anomalies signalees par 

1 1 analyseur-controleur 12. II identifie parmi ces anomalies 
celles qui necessitent de declencher des alarraes ou de 
mettre en oeuvre des mesures de contention pour intrusion et 
il infSre des intrusions ou des hypotheses d 1 intrusion. 

35 Ce gestionnaire d 1 anomalies 130 coopSre avec les differents 
analyseurs 120 & 127 et les contrdleurs 127 et 129B de 
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1 1 analyseurrcontroleur 12, il exploite la base modele de la 
cible 14 et la base de faits image du comportement 17, II 
alimente des declencheurs d'alarmes 131 et de contention 
13 2, des gestionnaires d' intrusions 133 et de suspects 134 
5 et la base de faits image du comportement 17. 

Pour interpreter les anomalies la base de connaissances du 
gestionnaire d 1 anomalies exprime les heuristiques permettant 
la classification de certaines anomalies en tant que 
symptdmes d' intrusion. Les hypotheses d' intrusion conduisent 

10 a rechercher des anomalies complementaires dans 1' image du 
comportement. Les intrusions et les hypotheses d 1 intrusion 
sont signalees au gestionnaire d' intrusions 133. 
Pour aiguiller les autres anomalies/ la base de 
connaissances exprime les criteres de signal d' anomalies au 

15 gestionnaire de suspects 134, au declencheur d'alarmes 131 
et au declencheur de contention 112. 

Le gestionnaire d' intrusions 133 est charge d 1 interpreter 
les intrusions et les hypotheses d' intrusion pour verifier 
qu'il n'y a pas d 1 intrusion (s) plus globale(s) et/ou 

20 consecutives . II est susceptible d'etre active par les 
analyseurs de missions 120, de taches 121 et de buts 122, 
par 1 1 identif icateur de scenarios d'attaque 128, par les 
controleurs de politique 129A et 129B et par le gestionnaire 
d'anomalies 130. II communique avec la base modele de la 

25 cible 14, les declencheurs d'alarmes 131 et de contention 
132, le gestionnaire de suspects 134 et la base de faits 
image du comportement 17. 

Les connaissances exprimees par la base de connaissances du 
gestionnaire d' intrusions sont exploitees pour relier les 

30 intrusions, pour en inferer de nouvelles et pour interpreter 
les intrusions en tant qu f elements constitutifs eventuels 
d 1 intrusions plus globales. Les hypotheses d 1 intrusions de 
plus haut niveau amenent a rechercher des informations 
complementaires dans I 1 image du comportement. 

35 Les intrusions structurees de cette maniere sont signalees 
au gestionnaire de suspects 134. La base de connaissances 
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exprime aussi les critferes de signalisation des intrusions 
et des hypotheses d 1 intrusion au declencheur d 1 alarmes 131 
et au declencheur de contention 132, comme deja indique. 
Le gestionnaire de suspects 134 est charge d 1 identifier les 
5 usagers reellement responsables des anomalies, des 

hypotheses d' intrusion et des intrusions; il evalue le degr6 
de suspicion qui leur est alors affecte. II assure aussi 
1 1 identification des usagers pour lesguels il est necessaire 
de dSclencher des alarmes ou de prevoir de mettre en oeuvre 

10 des mesures de contention, 

Ce gestionnaire de suspects 134 est ici susceptible d'etre 
active par les gestionnaires d' anomalies 130 et d 1 intrusions 
133, il communique avec la base modele de la cible 14 et la 
base de faits image du comportement 17 et il alimente les 

15 declencheurs d 1 alarmes 131 et de contention 132. 

L 1 interpretation des anomalies et des intrusions dans le 
cadre de cooperations pouvant denoter une cooperation 
directe ou une collusion est assuree par la base de 
connaissances lors de la recherche des responsabilites . 

20 Des degres de suspicion sont induits par les anomalies., les 
hypotheses d 1 intrusion ou intrusions dont un usager ou agent 
informatique est responsable, ils sont combines pour 
permettre la deduction d f un niveau de suspicion global pour 
l'usager considere. 

25 Les usagers suspects sont signales aux declencheurs 
d 1 alarmes 131 et de contention 132. 

Le declencheur d 1 alarmes 131 est charge de signaler les 
anomalies, les hypotheses d 1 intrusion, les intrusions et les 
usagers suspects determines par les gestionnaires 

30 d 1 anomalies 130, d 1 intrusions 133 et de suspects 134 au 
responsable de securite. II decide et elabore en 
consequence, a partir des criteres et connaissances stockees 
dans la base modele de la cible 14, les alarmes qui sont 
transmises & l f interface horame-machine 4 pour presentation 

35 au responsable de securite, ces alarmes etant completees par 
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adjonction jde l§ur contexte, lu dans la base de faits image 
du comport ement 17. 

Le declencheur de contention 132 est charge de proposer des 
mesures de contention au responsable de securite pour 
5 contrecarrer les anomalies, intrusions et usagers suspects 
signales par les gestionnaires 130, 133 et 134 evoques ci- 
dessus . La decision et 1 1 elaboration de ces mesures de 
contention s'effectuent par application de criteres stockes 
dans la base modele de la cible 14 aux informations emanant 

10 des gestionnaires d 1 anomalies, d f intrusions et de suspects. 
Les mesures proposees au responsable de securite via 
l 1 interface homme-machine 4 sont elles aussi completees par 
adjonction de leur contexte obtenu de la base de faits image 
du comport ement 17. 

15 Le selectionneur d 1 informations 135 est charge de signaler 
les evenements, actions et informations concernant le 
comportement de 1 1 ensemble inf ormatique 1 qui sont 
susceptibles de presenter un interet pour le responsable de 
securite. 

20 II est susceptible d'etre active par les modules de 
1 1 analyseur-controleur 12 et par les mises a jour 
intervenant au niveau de la base de faits image du 
comportement 17. II communique en ce but avec la base modele 
de la cible 14 et avec 1 1 investigateur de comportement 112. 

25 Les informations transmises par le selectionneur 135 pour 
signaler des evenements, des actions ou des informations 
relatives au comportement de l 1 ensemble inf ormatique 1, sont 
obtenues par des tris ef fectues parmi les donnees de 
comportement inferees par les modules de I'analyseur- 

30 controleur 12 et obtenues dans la base de faits image du 
comportement 17, suivant les criteres definis dans sa base 
de connaissances . L 1 investigateur de comportement 112 permet 
au responsable de securite de formuler des requetes pour 
obtenir des informations complementaires du selectionneur 

35 d ' inf ormations 135, selon ses besoins. 
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REVENDI CAT I ONS 

1/ Dispositif de detection d 1 intrusions et eventuellement 
d f usagers suspects, pour ensemble informatique (1), 
exploitant des flots de donnees de surveillance , relatives 
5 au comportement de 1' ensemble informatique en fonctionnement 
et notamment aux actions des utilisateurs sur cet 4 ensemble , 
'< qui sont etablies au niveau de ce dernier, caracterisS en ce 
qu'il comporte: 

- des premiers moyens (01) pour modeliser , par exploitation 
10 de regies et de connaissances prealablement acquises,: la 

cible que constitue cet ensemble informatique (l);et ses 
usagers ainsi que leurs comportements respectifs par une 
representation symbolique a l'aide d'un reseau semantique 
(06); 

15 - des seconds moyens (02) pour comparer le comportement 
modelise du syst&me et de ses utilisateurs par rapport au 
comportement normal modelise prevu pour les memes conditions 
< par des regies de comportement et de securite contenues dans 
une base de connaissances propre a ces seconds moyens et 

20 pour en inferer soit un objet anomalie, en cas de violation 
d'au moins une regie de comportement/ soit un objet 
intrusion ou hypothese d 1 intrusion, en cas de violation d f au 
moins une regie de securite; 1 

- des troisiemes moyens (03) pour interpreter les anomalies 
25 constatees par exploitation de regies et de connaissances 

prealablement acquis.es afin d'emettre, renforcer ou 
confirmer des hypotheses d' intrusion en correspondance; 

- des quatriemes moyens (04) pour correler et interpreter 
les hypotheses d 1 intrusion et les intrusions constatees par 

30. exploitation de regies et de connaissances prealablement 
acquises afin de relier les di verses hypotheses d' intrusion 
et/ou intrusions, d'en inferer de nouvelles. 
- des moyens de communication (00) cooperant avec les divers 
autres moyens (01 a 04) evoques ci-dessus pour assurer une 

35 signalisation des di verses informations que ces divers 
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moyens produisent relativement au comportement , aux 
anomalies, aux hypotheses d* intrusion et aux intrusions, 
2/ Dispositif de detection d' intrusions, selon la 
revendication 1, caracterise en ce qu'il comporte des 
5 cinquiemes moyens (05) pour identifier, a I 1 aide de 

connaissances prealablement acquises, les usagers reellement 
responsables des anomalies, hypotheses d' intrusion et 
intrusions etablies par les seconds, troisiemes et/ou 
quatriemes moyens, pour evaluer leur degre de suspicion et 
10 pour signaler ces usagers responsables, en cooperation avec 
ces autres moyens et par 1 ' intermediaire des moyens de 
communication (00). 

3/ Dispositif de detection d 1 intrusions, selon au moins 
l'une des revendications 1 et 2, caracterise en ce que les 

15 divers moyens (01 a 04 ou 05) qu'il met en oeuvre sont 
constitues par des syst^mes experts qui partagent un meme 
moteur d 1 inferences, fonctionnant en chainage avant, ce 
moteur etant exploite en liaison avec autant de bases de 
connaissances qu'il y a de systemes experts. 

20 4/ Dispositif de detection d 1 intrusion selon au moins l'une 
des revendications 1 a 3, caracterise en ce qu'il comporte: 

- un abstracteur-investigateur (11) dote de moyens (110 a 
112) pour construire une image du comportement de la cible, 
constitute par le systeme informatique (1) et par ses 

25 usagers, et pour mener des investigations dans des bases de 
donnees (14 a 16) et de faits (17) ainsi qu'au niveau de 
1 • ensemble informatique ( 1 ) ; 

- un analyseur-controleur (12) dote de moyens (120 a 
129)pour interpreter le comportement de 1' ensemble 

30 informatique et de ses utilisateurs par rapport au modele de 
la cible que traduisent les connaissances contenues dans des 
bases de donnees (14, 19 a 24) et de faits (17), afin de 
detecter les anomalies; 

- un gestionnaire de suspicion et de reaction (13) dote de 
35 moyens (130 a 135) pour interpreter les anomalies et les 

intrusions detect<§es, pour identifier les usagers reellement 
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responsables des, anomalies et intrusions, pour affecter un 
degre de suspicion a au moins ces usagers de maniere a 
declencher des signalisations correspondantes destinees cL 
etre transmises via une interface homme-machine (4) et 

5 eventuellement des mesures de contention applicables h 
l f ensemble informatique (1) sous supervision humaine via 
ladite interface homme-machine . 
5/ Dispositif de detection d' intrusion selon la 
revendication 4, caracterise en ce qu'il comporte un 

10 abstracteur-investigateur (11) associant un abstracteur 
d 1 audit (110) charge de creer une image temporelle et 
spatiale de I'etat et du comportement de la cible constitute 
: par le systeme informatique et par ses usagers et 
d 1 interpreter a la demande des donnees resultant de demandes 

15 d 1 investigation , un investigateur d' audit (111) chargS de 
rechercher des donnees dans une base centrale de donnees 
d' audit (15) du dispositif et d'acquerir des donnees de 
surveillance sur demande au niveau de 1* ensemble 
informatique, et un investigateur de comportement (112) 

20 charge de rechercher des informations pour l'analyseur- 
contrdleur (12) et pour le gestionnaire de suspicion et de 
reaction (13) dans les bases de donnees (14 a 16) et de 
faits (17) du dispositif en liaison avec 1 1 investigateur 
d 1 audit qu'il commande. 

25 6/ Dispositif de detection d 1 intrusion selon la 

revendication 4, caracterise en ce qu'il comporte un 
analyseur-controleur (13) associant une pluralite de modules 
analyseurs de comportement de la cible (120 a 126) a une 
pluralite de modules de contrdle du comportement de cette 

30 cible (127 a 129) . 

7/ Dispositif de detection d 1 intrusion selon la 
revendication 6, caracterise en ce que les modules 
analyseurs se repartissent en modules (120 a 124) assurant 
une analyse cognitive du comportement des usagers et modules 

35 (125, 126) assurant une analyse du comportement operatoire 
de I 1 ensemble informatique (1). 
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8/ Dispositif de detection d' intrusion selon la 
revendi cation 6, caracterise en ce que les modules de 
controle de comportement associent un contrdleur de profils 
(127) charge de contrdler la conformite du comportement 
5 determine par constatation avec un profil archive , un 
identificateur d'attaques (128) charge de rechercher la 
similarity du comportement determine avec des scenarios 
d'attaque connus et deux controleurs de politique . 1 1 un 
(129A) de securite apte a determiner le non-respect des 
10 regies de securite stockees dans une base de donnees de 
politique de securite (21), afin de declencher une 
signalisation d' intrusion a destination du gestionnaire de 
suspicion et de reaction (13) en cas de non-respect, et 
1' autre (129B) de comportement apte a determiner le non- 
15 respect des regies de comportement stockees dans une base de 
donnees de politique de comportement (22) afin de 
declencher, suivant l'espece, une signalisation d'anomalie 
ou d' intrusion a destination du gestionnaire de suspicion et 
de reaction (13). 
20 9/ Dispositif de detection d f intrusion, selon la , 

revendication 4, caracterise en ce que le gestionnaire de 
suspicion et de reaction (13) comporte notamment des moyens 
(130, 131, 133) pour interpreter les anomalies et intrusions 
signalees, des moyens (134) pour determiner les usagers 
25 suspects d 1 implication dans les anomalies, hypotheses 

d' intrusion et intrusions, ainsi qu'un niveau de suspicion 
qui est affecte a ces suspects en consequence, des moyens 
(131, 132) pour respectivement declencher des procedures 
d'alarme et de preparation de mesures de contention au 
30 profit d'un responsable de securite via l 1 interface homme- 
machine (4) du dispositif. 

10/ Systeme de securite, pour ensemble informatique (1), 
exploitant des flots de donnees de surveillance, relatives 
au comportement de 1' ensemble en fonctionnement et notamment 
35 aux actions des utilisateurs sur cet ensemble, caracterise 
en ce qu'il associe un dispositif de detection d 1 intrusions 
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(10) , selon au juoins une des revendications 1 a 9, a un 
ensemble de capteurs (5) implantes dans le(s) logiciel(s) de 
1 1 ensemble inf ormatique pour signaler les actions et 
<§venements intervenant & leur niveau , ainsi que les 
5 resultats de mesures, ce eventuellement sur demande, les 
dits capteurs etant relies au dispositif de detection 
d f intrusions par des moniteurs (7, 8) notamment charges de 
la mise en forme des donnees, recueillies par les capteurs , 
sous la forme de f lots de donnees de surveillance, . ces 
10 donnees correspondant chacune a une action , un evenement ou 
une mesur e . 

11/ Systeme de securite selon la revendication 10, 

caract§ris§ en ce qu'il comporte de plus un ensemble 

d 1 ef f ecteurs ( 6 ) / de type processus ou agents , implantes 

15 dans le(s) logiciel(s) de 1* ensemble inf ormatique (1)' pour 
realiser la mise en oeuvre de mesures de contention au 
niveau del 1 ensemble inf ormatique en vue de contrecarrer les 
tentatives d f intrusion visant cet ensemble inf ormatique, ces 
effecteurs etant commandes a partir du gestionnaire de 

20 suspicion et de reaction (13) via des moniteurs (7, 8) 
associes a ce dispositif (10) et aux machines (2) de 
* 1 1 ensemble inf ormatique • 
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